etechblog

Jak detekovat, předcházet a zmírňovat útok na převzetí účtu (ATO)

Photo of author

By etechblogcz

Ochrana vaší firmy před útoky na převzetí účtu (ATO), což je velmi častý typ podvodu, je možná s několika základními opatřeními.

Odpoledne 30. srpna 2019 zažili uživatelé Twitteru, dnes známého jako X, neobvyklou událost týkající se Jacka Dorseyho. Jeho účet se stal dějištěm urážlivých a rasistických příspěvků, a to po dobu zhruba 20 minut.

Někteří to mohli mylně považovat za duševní zhroucení generálního ředitele této významné sociální sítě. Nicméně, skupina Chuckling Squad, která za tímto činem stála, ve zveřejněných tweetech odkazovala na svůj Discord kanál, čímž odhalila, že jde o útok.

Později společnost Twitter (nyní X) tento incident oficiálně potvrdila.

Informujeme vás, že účet @jack byl kompromitován a incident je aktuálně vyšetřován.

— Twitter Comms (@TwitterComms) 30. srpna 2019

Šlo o typický útok převzetí účtu (ATO), konkrétně o takzvaný Sim Swapping. Hackeři vzdáleně získali kontrolu nad Jackovým telefonním číslem a prostřednictvím služby třetí strany, Cloudhopper, publikovali tweety.

Jaká je pravděpodobnost, že se běžný uživatel stane obětí, když se to stalo i generálnímu řediteli významné technologické společnosti?

Pojďme se společně podívat na různé formy útoků ATO a na to, jak ochránit vaši organizaci.

Co je to útok ATO?

Útok převzetím účtu (ATO), jak už název napovídá, využívá rozmanité taktiky (které si rozebereme později) k neoprávněnému ovládnutí online účtu oběti. Cílem jsou různé nekalé aktivity, jako jsou finanční podvody, získání citlivých informací, podvádění dalších uživatelů a další.

Jak útok ATO funguje?

Základem útoku ATO je odcizení přihlašovacích údajů. Zločinci toho docílí různými způsoby, například:

  • Sociální inženýrství: Zahrnuje psychologickou manipulaci, která má oběť přimět k prozrazení přihlašovacích údajů. Může to být pod záminkou technické podpory nebo vytvoření naléhavé situace, která oběti neposkytne dostatek času na racionální úsudek.
  • Credential Stuffing: Jedná se o metodu, kdy útočník zkouší prolomit účty s náhodnými přihlašovacími údaji, které často pocházejí z úniků dat nebo z dark webu.
  • Malware: Nebezpečný škodlivý software může s vaším počítačem provést mnoho nekalostí. Jednou z nich je krádež přihlašovacích údajů a odeslání informací kyberzločincům.
  • Phishing: Nejrozšířenější forma kybernetického útoku, která obvykle začíná jediným kliknutím. Toto zdánlivě neškodné kliknutí přesměruje uživatele na falešnou stránku, kde oběť zadá přihlašovací údaje, a tím připraví půdu pro útok ATO.
  • MITM (Man-in-the-middle): Útok typu man-in-the-middle spočívá v tom, že zkušený hacker „odposlouchává“ veškerou vaši síťovou komunikaci. Tímto způsobem jsou veškeré informace, včetně uživatelských jmen a hesel, zobrazeny třetí straně se zlými úmysly.

Toto jsou nejběžnější způsoby, jak kybernetičtí zločinci získávají přihlašovací údaje. Následuje převzetí účtu, nelegální aktivita a snaha o udržení přístupu co nejdéle, aby došlo k dalšímu poškození uživatele nebo k útokům na další uživatele.

Zločinci se často snaží oběť trvale zablokovat nebo si vytvořit zadní vrátka pro budoucí útok.

I když tomu nikdo nechce čelit (ani Jack!), včasné odhalení útoku nám může pomoci se vyhnout následným škodám.

Jak detekovat útok ATO

Jako majitel firmy máte několik možností, jak rozpoznat útok ATO, který se týká vašich uživatelů nebo zaměstnanců.

#1. Neobvyklá přihlášení

Může se jednat o opakované pokusy o přihlášení z různých IP adres, zejména ze vzdálených lokalit. Podobně mohou existovat přihlášení z neobvyklých zařízení nebo prohlížečů.

Také přihlašovací aktivita mimo běžné hodiny aktivity může signalizovat možný útok ATO.

#2. Neúspěšná dvoufázová autentizace (2FA)

Opakované selhání dvoufaktorového nebo vícefaktorového ověřování je také varovným signálem. Často se jedná o pokusy o neoprávněný přístup poté, co útočník získal uniklé nebo ukradené uživatelské jméno a heslo.

#3. Neobvyklá aktivita

Někdy není třeba být odborníkem, aby člověk zaznamenal neobvyklou aktivitu. Jakékoli chování, které se výrazně odlišuje od běžného chování uživatele, může být známkou probíhajícího útoku ATO.

Může se jednat o změnu profilové fotografie na nevhodnou nebo o sérii spamových e-mailů vašim klientům.

Ruční odhalení takových útoků je však obtížné. Proto mohou být nástroje jako Sucuri nebo Acronis nápomocné při automatizaci tohoto procesu.

Pojďme se nyní podívat, jak se takovým útokům vyhnout.

Prevence útoku ATO

Kromě používání nástrojů kybernetické bezpečnosti existuje několik ověřených praktik, které můžete zvážit.

#1. Silná hesla

I když silná hesla nejsou oblíbená, v dnešním prostředí kybernetických hrozeb jsou nutností. Proto nenechte uživatele nebo zaměstnance používat slabá hesla a nastavte minimální požadavky na složitost pro registraci účtu.

Zejména pro firmy je 1Password business vynikající volbou pro správu hesel, která odvede těžkou práci za váš tým. Kromě toho, že se jedná o správce hesel, také prohledává dark web a upozorní vás na případný únik přihlašovacích údajů. To vám umožní odeslat žádosti o resetování hesla dotčeným uživatelům nebo zaměstnancům.

#2. Vícefaktorové ověřování (MFA)

Pro ty, kteří nevědí, vícefaktorové ověřování znamená, že web kromě kombinace uživatelského jména a hesla vyžaduje další kód (zaslaný e-mailem nebo telefonním číslem uživatele) pro přihlášení.

Jedná se o poměrně spolehlivou metodu, jak zabránit neoprávněnému přístupu. Nicméně, podvodníci mohou prolomit MFA prostřednictvím sociálního inženýrství nebo útoků typu man-in-the-middle. Proto i když je to skvělá první (nebo druhá) linie obrany, je nutné zvážit i další opatření.

#3. Zavedení CAPTCHA

Většina útoků ATO začíná tím, že boti zkoušejí náhodné přihlašovací údaje. Proto je vhodné implementovat ověřovací výzvu, jako je CAPTCHA.

Nicméně, i když se to může zdát jako dokonalá ochrana, existují služby, které umí CAPTCHA obejít. Přesto je zavedení CAPTCHA pro většinu případů dobrým krokem pro ochranu před útoky ATO.

#4. Správa relací

Automatické odhlášení neaktivních relací může být obecně efektivní v prevenci útoků na převzetí účtu. Někteří uživatelé se totiž přihlašují z více zařízení a přecházejí mezi nimi, aniž by se odhlásili z těch předchozích.

Dále může být užitečné povolit pouze jednu aktivní relaci na uživatele.

V neposlední řadě by uživatelé měli mít možnost se odhlásit ze svých aktivních zařízení na dálku a v uživatelském rozhraní by měly být dostupné možnosti správy relací.

#5. Monitorovací systémy

Pro začínající nebo středně velké organizace není jednoduché pokrýt všechny typy útoků, zvláště pokud nemáte vyhrazené oddělení kybernetické bezpečnosti.

Zde se můžete spolehnout na řešení třetích stran, jako jsou Cloudflare a Imperva, kromě již zmíněných Acronis a Sucuri. Tyto společnosti jsou specialisté v oboru kybernetické bezpečnosti a efektivně zabraňují útokům ATO nebo je zmírňují.

#6. Geofencing

Geofencing používá pravidla přístupu na základě polohy pro váš webový projekt. Například firma se sídlem v USA, která působí pouze na americkém trhu, nemá žádný důvod, aby umožňovala přístup uživatelům z Číny. I když toto není plnohodnotné řešení pro ochranu před útoky ATO, přispívá k celkové bezpečnosti.

O krok dále, online obchod může být nastaven tak, aby umožňoval pouze určité IP adresy, které jsou přiděleny jeho zaměstnancům.

Jinými slovy, můžete použít firemní VPN, a tím zamezit útokům na převzetí účtu. Navíc VPN šifruje veškerý příchozí a odchozí provoz, a tím chrání vaše podnikové zdroje před útoky typu man-in-the-middle.

#7. Aktualizace

Jako internetová firma pravděpodobně pracujete s mnoha softwarovými aplikacemi, jako jsou operační systémy, prohlížeče, pluginy a další. Všechny tyto aplikace stárnou, a pro zajištění maximální bezpečnosti je nutné je pravidelně aktualizovat. I když to přímo nesouvisí s útoky ATO, zastaralý kód může být snadnou bránou pro kyberzločince, která může způsobit škody na vašem podnikání.

Zkrátka a dobře: pravidelně aktualizujte zabezpečení firemních zařízení. Pro uživatele může být také dobrým krokem, když se budou sami aktivně starat o aktualizaci aplikací na svých zařízeních.

I přes veškerá opatření, neexistuje bezpečnostní expert, který by vám mohl zaručit 100% bezpečnost. Proto byste měli mít připravený efektivní plán obnovy pro případ, že dojde k útoku.

Jak bojovat proti útoku ATO

Nejlepší je mít k dispozici odborníka na kybernetickou bezpečnost, protože každý případ je jedinečný. Nicméně, zde jsou kroky, které vás provedou běžným scénářem útoku ATO:

Zajistěte

Po zjištění útoku ATO byste měli okamžitě deaktivovat postižené účty. Dále může být užitečné odeslat požadavek na resetování hesla a MFA na všechny účty, a tím minimalizovat škody.

Informujte

Informujte cílové uživatele o události a škodlivé aktivitě na jejich účtech. Informujte je o dočasném zablokování a postupu pro obnovu účtu pro bezpečný přístup.

Vyšetřete

Tento proces by měl vést odborník nebo tým odborníků na kybernetickou bezpečnost. Cílem je identifikovat postižené účty a ověřit, že útočník již není aktivní. K tomuto účelu lze využít mechanismy poháněné umělou inteligencí, jako je analýza chování.

Kromě toho by měl být znám rozsah případného úniku dat.

Obnovte

Kontrola celého systému na přítomnost malwaru by měla být prvním krokem v detailním plánu obnovy. Útočníci totiž často instalují rootkity, aby infikovali systém nebo si zachovali přístup pro budoucí útoky.

V této fázi je vhodné zavést biometrickou autentizaci, pokud je k dispozici, nebo MFA, pokud nebyla doposud používána.

Nahlaste

Na základě místních zákonů je možné, že budete muset událost nahlásit státním orgánům. Pomůže vám to zůstat v souladu se zákonem a případně zahájit soudní řízení proti útočníkům.

Naplánujte

Nyní máte povědomí o slabých místech, která existovala bez vašeho vědomí. Je čas se na ně zaměřit v budoucím bezpečnostním plánu.

Kromě toho využijte tuto příležitost, abyste poučili uživatele o incidentu a požádali je o dodržování základních pravidel kybernetické bezpečnosti, aby předešli budoucím problémům.

Do budoucna

Kybernetická bezpečnost je neustále se vyvíjející obor. To, co bylo považováno za bezpečné před deseti lety, může být dnes otevřenou pozvánkou pro podvodníky. Proto je nejdůležitější držet krok s vývojem a pravidelně aktualizovat podnikové bezpečnostní protokoly.

Pokud vás to zajímá, v sekci zabezpečení na etechblog.cz naleznete databázi článků, které jsou vhodné k uložení do záložek a zaměřují se na začínající firmy a malé a střední podniky, které pravidelně píšeme a aktualizujeme. Pravidelně je kontrolujte a určitě tak naplníte část „držet krok“ ve vašem bezpečnostním plánu.

Zůstaňte v bezpečí a nedovolte jim převzít vaše účty.

Tweet
Share
Share
Pin

Co je Wave Browser? Je to virus?

8 užitečných testovacích nástrojů gRPC, které lze použít během vývoje